1.7.3 数据与代码分离原则

最新推荐文章于 2023-06-21 06:00:31 发布
最新推荐文章于 2023-06-21 06:00:31 发布
阅读量886 收藏 1
点赞数
原文链接:https://my.oschina.net/u/2308739/blog/724674
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1.7.3  数据与代码分离原则

另一个重要的安全原则是数据与代码分离原则。这一原则广泛适用于各种由于"注入"而引发安全问题的场景。

实际上,缓冲区溢出,也可以认为是程序违背了这一原则的后果--程序在栈或者堆中,将用户数据当做代码执行,混淆了代码与数据的边界,从而导致安全问题的发生。

在Web安全中,由"注入"引起的问题比比皆是,如XSS、SQL Injection、CRLF Injection、X-Path Injection等。此类问题均可以根据"数据与代码分离原则"设计出真正安全的解决方案,因为这个原则抓住了漏洞形成的本质原因。

以XSS为例,它产生的原因是HTML Injection 或 JavaScript Injection,如果一个页面的代码如下:

 
  1. <html> 
  2. <head>test</head> 
  3. <body> 
  4. $var  
  5. </body> 
  6. </html> 

其中 $var 是用户能够控制的变量,那么对于这段代码来说:

 
  1. <html> 
  2. <head>test</head> 
  3. <body> 
  4.  
  5. </body> 
  6. </html> 

就是程序的代码执行段。

 
  1. $var 

就是程序的用户数据片段。

如果把用户数据片段 $var 当成代码片段来解释、执行,就会引发安全问题。

比如,当$var的值是:

 
  1. <script  src=http://evil></script>  

时,用户数据就被注入到代码片段中。解析这段脚本并执行的过程,是由浏览器来完成的--浏览器将用户数据里的<script>标签当做代码来解释--这显然不是程序开发者的本意。

根据数据与代码分离原则,在这里应该对用户数据片段 $var 进行安全处理,可以使用过滤、编码等手段,把可能造成代码混淆的用户数据清理掉,具体到这个案例中,就是针对 <、> 等符号做处理。

有的朋友可能会问了:我这里就是要执行一个<script>标签,要弹出一段文字,比如:"你好!",那怎么办呢?

在这种情况下,数据与代码的情况就发生了变化,根据数据与代码分离原则,我们就应该重写代码片段:

 
  1. <html> 
  2. <head>test</head> 
  3. <body> 
  4. <script> 
  5. alert("$var1");  
  6. </script> 
  7. </body> 
  8. </html> 

 

在这种情况下,<script>标签也变成了代码片段的一部分,用户数据只有 $var1 能够控制,从而杜绝了安全问题的发生。

转载于:https://my.oschina.net/u/2308739/blog/724674

weixin_33910759
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据分离程序
12-23
这一个程序关于数学的处理,主要是matlab和说明,可以供大家用于处理数据或者matlab的学习。程序很简单数学需要看懂需要时间。
使用 Feed4JUnit 进行数据代码分离
红茶_wu
01-23 1394
从自动化项目的构建,分层,优化,走过了一个一个的坎,现在面临了一个测试数据的问题,那么如何将测试数据代码隔离开呢?feed4junit可以帮助我们 本文转自:http://www.oschina.net/question/129540_50930 简介: JUnit 是被广泛应用的 Java 单元测试框架,但是它没有很好的提供参数化测试的支持,很多测试人员不得不把测试数据
数据代码分开的一个原因
http://www.cnlogs.com/ubunoon --- ubunoon blog
05-06 850
          在进行程序设计的时候,总是需要进行数据输出,如显示提示信息,显示出错信息等内容,这些数据一般为常量,如果在程序中直接声明这些常量然后再输出,那么测试的时候将变得非常困难,因为测试的时候不知道什么时候会出现什么样的提示信息,提示信息将完全依据程序员的性格进行编写,提示信息是否准确提示。      为了能够方便程序设计与程序测试,一般常用的提示信息,显示内容应该同意作为stri
安全策略之数据代码分离原则
JBlock的博客
11-16 2021
今天是第一天写关于安全策略问题,而不是技术问题,原因我发现一个系统的安全级别的高低与采用怎样的安全策略有着不可分割的关系。如果没有采取好的安全策略,那么很有可能千里之堤,溃于蚁穴。而数据代码分析原则主要应用于各种由于注入而引发的安全问题。而在web安全中,由于注入带来的问题比比皆是,如x-path注入,sql注入,xss等等。这些问题都需要数据代码分离原则来设计出真正安全的解决方案。下面以xs
数据代码分离,分包原则
weixin_33980459的博客
12-12 473
common: 一般放公用的代码 test_case: 一般放测试数据,像excel表格等 test_result/logs: 一般放日志 test_result/reports: 放测试报告 conf: 放配置文件 assertions: 通用的断言 转载于:https://www.cnblogs.com/kulankadamei/p/10107188.html...
AXIS2 1.7.3 idea wsdl 代码生成插件
07-29
AXIS2 1.7.3 idea wsdl代码生成插件正是为了解决在IDEA中处理AXIS2项目时,自动生成与WSDL文件对应的Java源代码的问题。 这个插件的核心功能是将WSDL文件转换成可执行的Java客户端和服务端代码,从而简化了Web服务...
jsoup-1.7.3源代码
05-31
... 比如它可以处理: 1 没有关闭的标签 比如: <p>Lorem <p>Ipsum parses to <...3 一个Element包含一个子节点集合 并拥有一个父Element 他们还提供了一个唯一的子元素过滤列表 ... [更多]
数据结构 严蔚敏 代码
03-14
1.7.3 有向图的十字链表存储表示 335 范例1-104 有向图的十字链表存储表示 335 ∷相关函数:CreateDG函数 1.7.4 无向图的邻接多重表存储表示 344 范例1-105 无向图的邻接多重表存储表示 344 ∷相关函数:CreateGraph...
Awesonmium1.7.3
08-07
Awesonmium 是一个允许把网页嵌入到 3D 画面或游戏中的开源库。Awesomium 采用了目前业界速度最快的浏览器内核webkit和v8(Google Chrome浏览器的内核),并且能很好得支持flash。
treeNMS-1.7.3.zip
04-13
9. **API集成**:TreeNMS的API接口允许与其他系统(如ITSM、监控平台)集成,实现数据共享和流程联动。1.7.3可能扩展了API功能,增加了新的接口或改进了现有接口的性能。 10. **用户体验优化**:最后,TreeNMS ...
界面代码和功能代码分离示例
10-30
代码整合复用,可以参考的一个小例子.初学者可以看看
Openmesh 的遍历数据结构与逻辑处理代码分离
geometry_的专栏
04-28 1740
使用Openmesh的时候会出现搜索结构, 有时候一些逻辑代码直接在搜索结构中处理,这样做的理由很简单,因为效率, 但是代码模块分离很困难。甚至是不可能,所以在考虑,将搜寻的结构与处理 代码分析,这就需要包装一些搜索结构,和进行搜索结构的缓存。 牺牲效率来增进代码的可读性,更重要的是保证代码的可扩展性。
java web应用程序中代码数据分离方案(转)
weixin_33810302的博客
05-11 167
经常开发java web应用程序的朋友一定对有对程序打包,维护的经验,我们提高软件的维护性一般可以从分离易变和不变的内容,重构软件的结构来实现,重构包括对代码级别的,也包括对应用程序目录文件的重构,以下我就简单谈谈我的一次经历。 我们一个系统是java web应用程序,不过该系统所有的class文件、jsp、js、css、image文件和系统动态上传的doc、xls、...
基于Python接口自动化测试框架+数据代码分离实战(优化篇)
像蚂蚁一样工作,像蝴蝶一样生活
04-14 1996
  引言   之前分享过一篇关于使用unittest框架做接口自动化测试的文章——基于Python接口自动化测试框架+数据代码分离(进阶篇),该篇文章主要讲设计思路与简单实践的过程。但是,小编力求实战,恰巧遇到项目所需。俗话:光说不练假把式,很多人写博客,弄几个小示例后,就感觉自己学会了一套框架,甚至觉得自己是测开了。其实不然,实践使用过程,你会发现很多问题,特别是公司的花式接口和复杂...
Golang 学习笔记一:数据与方法分离
qq_39297673的博客
09-07 404
1. 将结构体和方法放在同一个包下 1. 项目结构如下 2. user.go 和 userdao.go 都在同一个包 dao下 (goland 中结构体和结构体的方法在同一个文件里,或者在同一个包下,则有效,编译时不会报错) 3. user.go //定义各个User结构体 type User struct{ ID int UserName string PassWord string Email string } 4. userdao.go package dao import( "go_
接口自动化:测试数据代码分离
一名小测试
09-06 1181
代码的可维护性除了代码冗余之外还有就是数据尽量不要和代码掺杂在一起,因为阅读起来会非常的凌乱;数据分离能更好的增加代码可读性和可维护性,也能更好的二次修改使用 ... 从工程目录上可以看到区分,datas中专门存放测试数据(yml文件),common中存放的是整个项目中公共使用的封装方法,cases中专门集中存放测试用例... 数据分离的第一步先找到工程项目路径 # -*- encoding: utf-8 -*- """ @__Software__: PyCharm @__Fi...
chatgpt赋能python:Python数据分离:如何将数据分离以提高效率
shengcaiy123的博客
06-21 405
在计算机科学中,数据分离指的是将数据存储在一个独立的文件中,而不是在程序的主体中。这种方法可以使程序更加灵活和可读,因为它可以轻松地修改或添加数据,而无需修改程序的代码。同时,这种数据分离的方法还可以使程序更加高效,因为程序不再需要在每次执行时都重新加载数据。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。
前端的表现与数据分离(一)
yuntian1995的博客
08-23 9090
第一次看到表现与数据分离,我就觉得是个很高大上的东西,然后通过万能的度娘,总算是了解了一些,在这里稍微说一下我自己的理解。 “分离”的话可以分为两种: 第一种是前端与后台分离,所有数据都是通过请求(AJAX)从后台获取,前端处理数据展现页面,不需要后台在页面中插入变量。 第二种前端展现与数据分离。也就是说在前端处理数据的过程中,处理DOM的代码与处理数据代码要区分开,不能混在一起,这样改起
为什么要实现程序指令和程序数据分离
热门推荐
认知 行动 坚持
11-05 1万+
就以linux的ELF为例吧, 程序放在text段(你也可以叫它code段), 这是程序指令。  而数据放在data端和bss段, 这是程序数据。 那为什么要实现程序指令和程序数据分离呢?         1.   程序装载后, 程序指令放只读区域, 程序数据放在可读写区域。 可以防止程序被篡改。         2.   程序指令和数据指令分开, 可以提高CPU对cache的命中率, 集中
behavior designer 1.7.3
最新发布
11-29
Behavior Designer 1.7.3是一款行为设计软件,旨在帮助用户创建和管理各种行为模式。该软件具有直观的用户界面和强大的功能,使用户能够轻松地设计和实施各种复杂的行为。 该软件提供了丰富的行为设计工具,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值